本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS IoT TwinMaker 和介面 VPC 端端點 ()AWS PrivateLink
您可以在虛擬私有雲 (VPC) 和 AWS IoT TwinMaker 建立介面 VPC 端點之間建立私有連線。介面端點由其提供支援 AWS PrivateLink
每個介面端點都是由您子網路中的一或多個彈性網路介面表示。
如需詳細資訊,請參閱 Amazon VPC 使用者指南中的介面虛擬私人雲端端點 (AWS PrivateLink)。
AWS IoT TwinMaker VPC 端點的考量
在為其設定介面 VPC 端點之前 AWS IoT TwinMaker,請先參閱 Amazon VPC 使用者指南中的界面端點屬性和限制。
AWS IoT TwinMaker 支援從您的 VPC 呼叫其所有 API 動作。
-
對於資料平面 API 作業,請使用下列端點:
data.iottwinmaker.region.amazonaws.com資料平面 API 作業包括下列項目:
-
對於控制平面 API 操作,請使用以下端點:
api.iottwinmaker.region.amazonaws.com支援的控制平面 API 作業包括:
為 AWS IoT TwinMaker建立介面 VPC 端點
您可以使用 Amazon VPC 主控台或 AWS Command Line Interface ()AWS CLI來為 AWS IoT TwinMaker 服務建立 VPC 端點。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的建立介面端點。
建立使用下列服務名稱 AWS IoT TwinMaker 的 VPC 端點。
-
對於資料平面 API 作業,請使用下列服務名稱:
com.amazonaws.region.iottwinmaker.data -
對於控制平面 API 操作,請使用以下服務名稱:
com.amazonaws.region.iottwinmaker.api
如果您為端點啟用私有 DNS,則可以使用該區域 AWS IoT TwinMaker 的預設 DNS 名稱向其發出 API 要求,例如iottwinmaker.us-east-1.amazonaws.com。
如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的透過介面端點存取服務。
AWS IoT TwinMaker PrivateLink 在下列地區支援:
us-east-1
下列可用區域支援此 ControlPlane 服務:
use1-az1use1-az2、和use1-az6。下列可用區域支援此 DataPlane 服務:
use1-az1use1-az2、和use1-az4。us-west-2
以下可用區域支援和 DataPlane 服務:
usw2-az1usw2-az2、和usw2-az3。 ControlPlaneeu-west-1
eu-central-1
ap-southeast-1
ap-southeast-2
如需可用區域的詳細資訊,請參閱資 AWS 源的可用區域 ID- AWS Resource Access Manager。
透 AWS IoT TwinMaker 過介面 VPC 端點存取
建立介面端點時, AWS IoT TwinMaker 會產生端點特定的 DNS 主機名稱,供您用來與之通訊。 AWS IoT TwinMaker私人 DNS 選項預設為啟用。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用私有託管區域。
如果您為端點啟用私有 DNS,則可以 AWS IoT TwinMaker 透過下列其中一個 VPC 端點向其中一個發出 API 要求。
-
對於資料平面 API 作業,請使用下列端點。將
區域取代為您的 AWS 地區。data.iottwinmaker.region.amazonaws.com -
對於控制平面 API 操作,請使用以下端點。將
區域取代為您的 AWS 地區。api.iottwinmaker.region.amazonaws.com
如果停用端點的私人 DNS,則必須執行下列動作才能 AWS IoT TwinMaker 透過端點存取:
-
在 API 要求中指定 VPC 人雲端端點 URL。
-
對於資料平面 API 作業,請使用下列端點 URL。將
vpc 端點 ID 和區域取代為您的 VPC 端點 ID和區域。vpc-endpoint-id.data.iottwinmaker.region.vpce.amazonaws.com -
針對控制平面 API 作業,請使用下列端點 URL。將
vpc 端點 ID 和區域取代為您的 VPC 端點 ID和區域。vpc-endpoint-id.api.iottwinmaker.region.vpce.amazonaws.com
-
-
停用主機前置詞插入。當您呼叫每個 API 作業時, AWS CLI 和 AWS SDK 會在服務端點前面加上各種主機前置詞。這會導致 AWS CLI 和 AWS SDK 在您指定 VPC 端點 AWS IoT TwinMaker 時產生無效的 URL。
重要
您無法在 AWS CLI 或中停用主機前置詞插入 AWS Tools for PowerShell。這表示如果您已停用私有 DNS,您將無法 AWS IoT TwinMaker 透過 VPC 端點使用 AWS CLI 或 AWS Tools for PowerShell 存取。如果您想要使用這些工具 AWS IoT TwinMaker 透過端點存取,請啟用私有 DNS。
有關如何在 SDK 中禁用主機前綴插入的 AWS 詳細信息,請參閱以下每個 SDK 的文檔部分:
如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的透過介面端點存取服務。
建立 VPC 端端點原則 AWS IoT TwinMaker
您可以將端點政策連接至控制 AWS IoT TwinMaker存取權限的 VPC 端點。此政策會指定下列資訊:
-
可執行動作的主體。
-
可執行的動作。
-
可供執行動作的資源。
如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用 VPC 端點控制對服務的存取。
範例:用於動作的 VPC 端點原則 AWS IoT TwinMaker
以下是的端點策略範例 AWS IoT TwinMaker。連接到端點時,此政策會授予對所有資源 AWS 帳戶iottwinmakeradmin中 IAM 使用者列出 AWS IoT TwinMaker 動作123456789012的存取權。
{ "Statement":[ { "Principal": { "AWS": "arn:aws:iam::123456789012:user/role" }, "Resource": "*", "Effect":"Allow", "Action":[ "iottwinmaker:CreateEntity", "iottwinmaker:GetScene", "iottwinmaker:ListEntities" ] } ] }
